L’utilisation croissante de l’intelligence artificielle dans les cyberattaques : une menace grandissante pour la sécurité informatique

D’après une étude de l’Agence suédoise de Défense et de Recherche, l’utilisation de l’intelligence artificielle permettrait aux cybercriminels de changer d’échelle par le gain en précision et en rapidité de leurs attaques. Si l’IA n’est pas utilisée sur l’ensemble du mode opératoire, elle permet néanmoins d’en automatiser certaines étapes.

L’intelligence artificielle apporte de nombreux gains opérationnels aux cybercriminels tels que :

• Une meilleure préparation : entraînés à partir de grandes quantités de données, ces algorithmes peuvent repérer, identifier et exploiter davantage de vulnérabilités.
• Un gain de sophistication : les cyberattaques ciblées peuvent s’adapter au comportement des cibles, contourner les mécanismes de détection et s’ajuster en fonction du contexte.
• Une rapidité d’exécution : l’IA permet d’automatiser certaines tâches telles que la collecte d’informations ou la recherche de vulnérabilités.
• Le lancement d’actions sur une plus grande étendue : les cyberattaques s’appuyant sur l’IA et le machine learning peuvent viser simultanément et de manière automatisée un plus grand nombre de cibles.

Si ces caractéristiques peuvent sembler fantasques, ces outils basés sur des algorithmes de machine learning existent déjà. C’est le cas par exemple du projet SNAP_R. Logiciel utilisé à des fins de tests de pénétration, cet outil cible des victimes et génère automatiquement des messages de spear-phishing sur les réseaux sociaux. Pour interagir avec la victime, le script s’appuie sur deux méthodes de génération de texte : des modèles de Markov s’appuyant sur les posts et statuts récents de la cible, et un réseau neuronal LSTM formé sur un corpus de texte plus général. En utilisant le service de réduction d’URL goo.gl, la victime n’a aucune capacité à vérifier le lien avant de cliquer. Un procédé redoutable.

Depuis plusieurs années déjà, l’IA est en mesure d’écrire de grandes variétés d’e-mails de phishing qui sont contextualisés ( service de livraison, renouvellement de mot de passe… ), qualitatifs et cohérents d’un point de vue sémantique. En générant des e-mails uniques, les cybercriminels contournent les filtres anti-spam traditionnels en passant sous les seuils de détection. La sortie de ChatGPT fin 2022 et la médiatisation dont il a fait l’objet n’ont fait que remettre sur le devant de la scène cette question.

En analysant les données disponibles sur les réseaux sociaux (ingénierie sociale) et en automatisant les premiers échanges d’e-mails, les attaquants peuvent industrialiser cette méthode à grande échelle passant d’un e-mail grossier envoyé en masse à des frappes ciblées par l’intermédiaire d’exemplaires uniques et façonnés pour chaque victime.

La génération de deepfakes et de deepvoices au travers de services grand public ouvre de nouvelles perspectives pour les cybercriminels. Dans le cas des deepfakes, il s’agit de créer de fausses vidéos en utilisant l’IA pour remplacer le visage d’une personne par une autre. Pour les images, il est aujourd’hui possible de recréer une photo qui n’a jamais existé. C’est notamment le cas avec logiciel midjourney. Comme pour ChatGPT, ce dernier est capable de créer une image à partir d’une simple instruction. Une facilité déconcertante qui laisse présager d’une utilisation malveillante à grande échelle. De nombreux internautes alertent sur le sujet depuis des mois sur les réseaux sociaux.

Avec les deepvoices, c’est l’utilisation d’une voix de synthèse générée à partir de fragments audio de la voix d’origine qui permet d’usurper l’identité d’une personne. De ce fait, le vishing (hameçonnage par téléphone) pourrait gagner davantage de terrain en intégrant les capacités techniques de création des deepvoices. Comme souvent, ces technologies sont déjà utilisées par les cybercriminels : en 2020, un directeur d’une banque de Hong-Kong a été trompé par le clonage de la voix d’un directeur d’entreprise des Émirats arabes unis, client de l’agence, qu’il connaissait. Ce deepfake l’a poussé à réaliser un virement bancaire frauduleux de 35 millions de dollars.

Face à de telles technologies, les entreprises sur internet devront renforcer leur capacité de modération et d’analyse des contenus. Il reste difficile de différencier à première vue les contenus générés par IA des contenus légitimes.

L’IA pourrait également être utilisée dans le cas d’attaques de malwares, notamment pour permettre de réaliser un ciblage intelligent et s’adapter de manière dynamique à l’environnement de sécurité. Certains experts pensent que des « self-learning malwares »[1]  pourraient être à l’origine d’incidents de sécurité majeurs dès 2024.

Devant l’importance croissante prise par l’IA dans de nombreux domaines, les cybercriminels s’emploient à tromper ou à détourner des modèles de machine learning en polluant les données alimentant des algorithmes (en ajoutant du bruit ou des perturbations à des sons, des images ou des textes, par exemple). On parle, dans ce genre de cas, d’attaques contradictoires ou « adversorial attacks ». Leur objectif ? Créer des dysfonctionnements dans des modèles de machine learning, induire des biais dans l’apprentissage, éviter les systèmes de détection, etc.

Face aux nouveaux risques induits par l’usage accru des deepfakes et des deepvoices, des études universitaires émergent pour mieux repérer ces nouvelles menaces. L’intelligence artificielle peut détecter sur une vidéo certains éléments qui restent invisibles à l’œil nu : les flux sanguins et la lumière des veines sur le visage de la personne, les déformations du visage (sur le nez, les yeux, la bouche), les reflets de la lumière dans les yeux, les incohérences dans les mouvements des lèvres ou les bruits de fond, par exemple. L’IA offre donc des perspectives très prometteuses pour détecter les fausses images.

Quant aux deepvoices, il existe également des pistes pour les détecter. En effet, les voix de synthèse et les voix humaines produisent des différences en matière d’acoustique et de dynamique des fluides. Pouvoir mesurer ces différences permettrait de détecter les deepfakes audio. L’anatomie humaine permet de vocaliser un nombre de sons relativement faible. À l’inverse, les échantillons audio de synthèse reproduisent des formes de son qui n’existent pas chez l’homme. Le développement de la recherche sur le sujet de la biométrie vocale va également dans le sens d’une meilleure détection par l’IA des deepfakes audio.

Si l’IA et le machine learning sont utilisés par les cybercriminels pour mener des attaques de grande ampleur qui peuvent s’adapter aux systèmes de défense, ils peuvent également venir soutenir les stratégies de défense dans le cas d’attaques par déni de service (Ddos). Leur usage permet notamment de :

• Détecter les requêtes suspectes parmi le trafic légitime.
• Construire des modèles prédictifs permettant de découvrir des schémas d’attaque connus.
• Prendre des mesures correctives et appliquer des règles de blocage.
• De stopper les attaques DDoS.

Les cybercriminels utilisent abondamment les images dans leurs tentatives de phishing, qu’il s’agisse de logos usurpés, de QR codes ou encore d’images représentant du texte. L’utilisation de la vision par ordinateur (une branche de l’intelligence artificielle analysant les images) aide à détecter ces usages. Les algorithmes de computer vision peuvent par exemple :

• Détecter des logos de marques ou de produits qui auraient été modifiés par les cybercriminels pour déjouer les technologies de filtrage.
• Détecter les QR codes insérés dans les e-mails pour remplacer les URLs (et ainsi échapper aux systèmes d’analyse des URLs).
• Bloquer les menaces provenant de certaines images (les cybercriminels envoient parfois des e-mails de phishing comportant uniquement des images avec du texte inséré à l’intérieur, pour échapper à la détection des filtres de contenu).

L’intelligence artificielle et le machine learning vont déployer une grande partie de leur potentiel au travers de vecteurs d’attaques pour lesquels le facteur humain reste le maillon faible. Or, la plupart des collaborateurs d’une entreprise n’ont pas conscience des usages actuels et à venir de l’IA dans les cyberattaques.

La solution ? Porter des efforts soutenus sur la sensibilisation et la formation des collaborateurs, en complément des mesures de sécurité indispensables. Réaliser une simulation de phishing une fois par an ne suffit plus, il faut désormais informer, former et sensibiliser les collaborateurs en continu, et entraîner leurs réflexes sur les nouveaux types de menaces intégrant l’IA.